Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Server & Netzwerk 11.06.2026 · 3 min Lesezeit

Fortinet patcht kritische RCE-Lücken in FortiSandbox und FortiAuthenticator (CVSS bis 9,8)

Fortinet hat am 10. Juni 2026 Patches für drei kritische Schwachstellen veröffentlicht. Betroffen sind FortiSandbox (CVSS 9,8) und FortiAuthenticator (CVSS 9,1) – unauthentifizierte Angreifer können in beiden Fällen Remote Code Execution erzielen. Sofortiges Update wird empfohlen.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Fortinet patcht kritische RCE-Lücken in FortiSandbox und FortiAuthenticator (CVSS bis 9,8)

Fortinet hat am 10. Juni 2026 im Rahmen seines regulären Patchzyklus Sicherheitsupdates für drei kritische Schwachstellen veröffentlicht. Betroffen sind die Produkte FortiSandbox, FortiSandbox Cloud, FortiSandbox PaaS sowie FortiAuthenticator. Alle drei Lücken ermöglichen es unauthentifizierten Angreifern, aus der Ferne beliebigen Code oder Systembefehle auszuführen – ohne vorherige Anmeldung. Aktive Ausnutzung war zum Zeitpunkt der Veröffentlichung nach Angaben von Fortinet nicht bekannt, der Schweregrad der Schwachstellen macht einen schnellen Patch-Einsatz dennoch zwingend erforderlich.

Die Schwachstellen im Detail

Fortinet bestätigt drei separate CVEs, die allesamt ohne Authentifizierung aus dem Netz ausgenutzt werden können:

CVECVSSProduktSchwachstellentyp
CVE-2026-250899,8 (kritisch)FortiSandbox, FortiSandbox Cloud, FortiSandbox PaaSOS-Command-Injection via HTTP
CVE-2026-260839,1 (kritisch)FortiSandboxMissing Authorization – unauthentifizierte Code-/Befehlsausführung
CVE-2026-442779,1 (kritisch)FortiAuthenticatorImproper Access Control – Remote-Zugriff ohne Authentifizierung via API-Endpoint

Die schwerwiegendste Lücke, CVE-2026-25089, erlaubt einem nicht angemeldeten Angreifer, über eine manipulierte HTTP-Anfrage beliebige Betriebssystembefehle auf dem FortiSandbox-System auszuführen. Ein zweiter Fehler in FortiSandbox (CVE-2026-26083) fußt auf fehlender Autorisierungsprüfung und ermöglicht ebenfalls Code- oder Befehlsausführung ohne gültige Sitzung. In FortiAuthenticator erlaubt CVE-2026-44277 den unautorisierten Zugriff auf einen API-Endpunkt – ein Angreifer kann so die Zugriffskontrolle vollständig umgehen.

Bin ich betroffen?

Unternehmen sind betroffen, wenn sie eines der folgenden Produkte im Einsatz haben:

  1. FortiSandbox (alle von Fortinet als anfällig eingestuften Versionen)
  2. FortiSandbox Cloud
  3. FortiSandbox PaaS WEB UI
  4. FortiAuthenticator (alle von Fortinet als anfällig eingestuften Versionen)

Die genauen betroffenen Versionsbereiche sowie die jeweiligen Fixversionen sind in den offiziellen PSIRT-Advisories auf fortiguard.com/psirt dokumentiert. Administratoren sollten dort die spezifischen Versionsnummern für ihre installierten Produkte prüfen. Besonders kritisch ist die Exposition, wenn FortiSandbox oder FortiAuthenticator direkt aus dem Internet erreichbar sind oder sich in Netzwerkbereichen befinden, auf die nicht vertrauenswürdige Systeme Zugriff haben.

Zur grundlegenden Absicherung von Netzwerkdiensten und Firewall-Konfiguration empfiehlt sich ein Blick auf unsere Anleitung zur pfSense/OPNsense-Firewall-Erstkonfiguration.

Wie behebe ich das?

Fortinet empfiehlt das sofortige Einspielen der bereitgestellten Patches. Die Updates sind über das Fortinet Support Portal erhältlich:

  1. Anmeldung am Fortinet Support Portal (support.fortinet.com)
  2. Unter Downloads > Firmware Images das jeweilige Produkt auswählen (FortiSandbox bzw. FortiAuthenticator)
  3. Die in den PSIRT-Advisories genannte gepatchte Version herunterladen
  4. Update gemäß dem produktspezifischen Upgrade-Leitfaden von Fortinet einspielen
  5. Nach dem Update die Versionsnummer im Administrations-Interface verifizieren

Sollte ein sofortiges Update nicht möglich sein, sollte der Zugang zu den betroffenen Management-Interfaces und API-Endpunkten durch Firewall-Regeln auf vertrauenswürdige Quell-IP-Adressen beschränkt werden. Ist FortiAuthenticator von außen erreichbar, ist eine Netzwerksegmentierung oder vorgeschaltete Authentifizierung (z. B. VPN-Pflicht) als kurzfristige Maßnahme zu erwägen. Ergänzend bietet unsere Anleitung zur Einführung von Zwei-Faktor-Authentifizierung und MFA einen guten Überblick über den sicheren Betrieb von MFA-Infrastruktur.

Was bedeutet das für Unternehmen?

Die Kombination aus hohem CVSS-Score (bis 9,8) und fehlender Authentifizierungsvoraussetzung macht diese Schwachstellen zu Lücken der höchsten Prioritätsstufe. FortiSandbox dient in vielen Unternehmen als zentrale Analyse-Instanz für potenziell schadhafte Dateien und E-Mail-Anhänge. Eine erfolgreiche Kompromittierung dieses Systems würde nicht nur den Angriffserkennungs-Layer aushebeln, sondern einem Angreifer auch tiefe Einblicke in die Netzwerktopologie und analysierte Daten verschaffen.

Noch weitreichender sind die möglichen Folgen einer FortiAuthenticator-Kompromittierung: Dieses Produkt fungiert in vielen Unternehmen als zentrale Komponente für Zwei-Faktor-Authentifizierung (2FA/MFA). Fällt es in die Hände eines Angreifers, ist die gesamte MFA-Infrastruktur des Unternehmens gefährdet – Angreifer könnten Authentifizierungsprozesse manipulieren, Benutzerkonten übernehmen oder MFA-Mechanismen für privilegierte Zugänge unterlaufen.

SecurityWeek und The Hacker News berichten unabhängig voneinander über diese Patches als Teil einer koordinierten Disclosure vom 10. Juni 2026, bei der neben Fortinet auch Ivanti und SAP kritische Updates veröffentlichten. Fortinet bestätigte zum Zeitpunkt der Offenlegung keine bekannte aktive Ausnutzung – erfahrungsgemäß ändert sich das jedoch schnell, sobald technische Details zu kritischen RCE-Lücken öffentlich sind. Administratoren sollten daher nicht auf die nächste reguläre Wartung warten, sondern die Patches umgehend prüfen und einspielen.

Quellen

  1. SecurityWeek: Critical Vulnerabilities Patched in Fortinet, Ivanti Products
  2. The Hacker News: Ivanti, Fortinet, and SAP Release Patches for Multiple Critical Vulnerabilities
  3. FortiGuard Labs PSIRT: Fortinet Security Advisories
  4. CSO Online: Ivanti patches critical Sentry flaws
Verwandt

Weiter lesen

Alle Artikel →
Die Grafik warnt vor einer schwerwiegenden Sicherheitslücke in Juniper-PTX-Routern, durch die Angreifer ohne Anmeldung Root-Rechte erlangen und das System komplett kontrollieren können.
11.06.2026 ·3 min

Juniper Networks: Kritische RCE-Lücke CVE-2026-21902 ermöglicht Root-Übernahme von PTX-Routern

Juniper Networks hat einen Notfall-Patch für CVE-2026-21902 (CVSS 9.8) veröffentlicht. Die kritische Lücke im On-Box Anomaly Detection Framework von Junos OS Evolved erlaubt unauthentifizierten Angreifern die vollständige Root-Übernahme von PTX-Series-Routern.
Ein Beispielbild für das ausnutzten für ein Solar Winds Serv-U Bug
09.06.2026 ·3 min

SolarWinds Serv-U CVE-2026-28318: CISA setzt aktiv ausgenutzte DoS-Lücke auf KEV-Liste – Patchfrist 19. Juni

CISA hat am 5. Juni 2026 eine aktiv ausgenutzte Denial-of-Service-Schwachstelle in SolarWinds Serv-U in das Known Exploited Vulnerabilities Catalog aufgenommen. US-Bundesbehörden müssen bis 19. Juni patchen. Der Fix ist seit dem 3. Juni verfügbar.
Cybersecurity-Illustration zu einer aktiv ausgenutzten SolarWinds-Serv-U-Sicherheitslücke mit CISA-Warnung, Serverrack, Datenabfluss und Hotfix-Hinweis.
08.06.2026 ·4 min

SolarWinds Serv-U CVE-2026-28318: CISA-Warnung, aktiv ausgenutzt – Hotfix verfügbar

CISA hat CVE-2026-28318 in SolarWinds Serv-U in den KEV-Katalog aufgenommen: Unauthentifizierte Angreifer können den Dienst per HTTP-POST zum Absturz bringen. Über 12.000 Server sind öffentlich erreichbar – Bundesbehörden müssen bis 19. Juni 2026 patchen.